In wenigen Monaten müssen viele Unternehmen die NIS2-Richtlinie umsetzen. Auf den ersten Blick scheint noch genug Zeit zur Verfügung zu stehen, doch der Aufbau einer adäquaten Sicherheitsstruktur geht nicht von heute auf morgen. Roman Oberauer, Country Managing Director bei NTT Ltd. in Österreich, erklärt im Executive-Interview mit xBN, was auf betroffene Unternehmen zukommt.
Die NIS2-Richtlinie ist eine EU-weite Gesetzgebung zur Netzwerk- und Informationssicherheit, die im Jänner 2023 in Kraft getreten ist und von den Mitgliedstaaten bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden muss. Die Richtlinie schreibt strenge Maßnahmen zur Gewährleistung der Cybersicherheit vor, um die Sicherheit von Netzwerk- und Informationssystemen zu erhöhen. Obwohl die Umsetzungsfrist bis zum 17. Oktober 2024 verlängert wurde, ist es wichtig, dass Unternehmen so bald wie möglich mit der Implementierung der erforderlichen Maßnahmen beginnen, um eine angemessene Sicherheitsstruktur aufzubauen. Betroffen von der Richtlinie sind Unternehmen, die als kritische Infrastrukturen oder digitale Dienstleister agieren. Dazu gehören beispielsweise Unternehmen aus den Bereichen Energie, Gesundheitswesen, Finanzen, Verkehr und digitale Plattformen. Diese Unternehmen müssen sich den Herausforderungen der Richtlinie stellen und geeignete Maßnahmen ergreifen, um ihre Netzwerke und Informationssysteme abzusichern.
Unternehmen erhalten keine direkte Mitteilung von den Behörden darüber, ob die neuen Vorgaben auf sie zutreffen oder nicht. Vielmehr sind sie selbst verpflichtet, anhand der festgelegten Kriterien ihre betroffene Situation eigenständig zu ermitteln. In Zukunft werden also Unternehmen und Organisationen mit einer Belegschaft von 50 oder mehr Mitarbeitenden und einem Jahresumsatz von mindestens zehn Millionen Euro in den jeweiligen Sektoren erfasst. Konkret erfolgt in NIS2 eine Unterscheidung zwischen “wichtigen” und “wesentlichen” Einrichtungen, wobei letztere aufgrund ihres Marktanteils in dem jeweiligen Sektor eine entscheidende Rolle spielen. Für kleine Unternehmen greift NIS2 zwar eigentlich nicht, allerdings gibt es Ausnahmen, bei denen die Unternehmensgröße keine Rolle spielt. An die NIS2-Vorgaben halten müssen sich künftig demnach auch Anbieter von DNS-Diensten, TLD-Namensregistern sowie öffentlicher elektronischer Kommunikationsnetze oder -dienste.
Derzeit sind viele Unternehmen gefordert, die Anforderungen, die NIS2 mit sich bringt, zu erfüllen. NTT unterstützt sie dabei als Infrastrukturpartner. Wie schätzen Sie die derzeitige Lage in diesem Bereich ein?
Roman Oberauer: Gut umgesetzt wird die NIS2-Richtlinie in den Unternehmen dazu beitragen, das Bewusstsein für die Bedeutung von Cybersicherheit zu schärfen und die Kommunikation innerhalb des Unternehmens zu verbessern. Es wird dadurch die Basis für eine bessere Kommunikation mit der zentralen CERT-Stelle (Anm.: Computer Emergency Response Team) geschaffen und bessere Definitionen für den Umgang mit Sicherheitsvorfällen geben. Darüber hinaus wird die NIS2-Richtlinie dabei helfen, dass Unternehmen auf dem neuesten Stand der Technik bleiben und ihre Systeme effizienter betreiben. Wenn ein Sicherheitsvorfall eintritt, kann in der Folge schneller reagiert werden und die Auswirkungen des Vorfalls können minimiert werden.
In der Cybersecurity sind drei Faktoren von besonderer Bedeutung: Global Visibility, Early Detection und Ausfallssicherheit. Wenn mehrere Staaten zusammenarbeiten und die notwendigen Strukturen schaffen, kann dies zu einer globalen Sicht, einer verbesserten Kommunikationsstruktur und einer früheren Erkennung oder Weitermeldung führen. Bevor dies jedoch geschehen kann, müssen die notwendigen Schritte auf nationaler Ebene unternommen werden, um eine solide Grundlage zu schaffen. Aktuell sind viele Unternehmen gefordert, die nächsten Schritte zu setzen, um ihre IT-Infrastruktur sicherer zu gestalten.
Welche konkreten Herausforderungen ergeben sich für Unternehmen? Insbesondere, wenn sie bereits Sicherheitsmaßnahmen implementiert haben?
Oberauer: Sicherheit ist ein wichtiger Aspekt in der IT-Wertschöpfungskette. Es gibt verschiedene Standards, die von einfachen bis zu komplexen Passwörtern, Datenverschlüsselungen und Sicherheit der Übertragungswege und Verbindungen reichen. Die grundlegenden Sicherheitsmaßnahmen sind von entscheidender Bedeutung. Es ist wichtig, dass die Verantwortlichkeiten innerhalb des Unternehmens klar definiert sind, um sicherzustellen, dass alle Sicherheitsaspekte abgedeckt sind. Eine klare Kommunikationsstruktur ist dabei von entscheidender Bedeutung, um sicherzustellen, dass alle Beteiligten auf dem gleichen Stand sind.
Unternehmen müssen prüfen, wie sie ihre Sicherheitsstandards umsetzen können. Es besteht hier die Möglichkeit, dass das bestehende Equipment nicht ausreicht, um höhere Standards zu unterstützen. In solchen Fällen könnte es notwendig sein, in neue Technologien zu investieren. Zum Beispiel in Cloud-Lösungen. Aber auch hier muss die Verschlüsselung der Daten sorgfältig geplant werden. Die Entscheidung, ob dies in der Cloud oder vor Ort erfolgt, hängt von verschiedenen Faktoren ab, die analysiert werden müssen. So erfordern Anwendungen, die man im eigenen Rechenzentrum betreibt, eine genaue Prüfung der Sicherheitsrichtlinien.
Es ist wichtig, dass die Verantwortlichkeiten innerhalb des Unternehmens klar definiert sind, um sicherzustellen, dass alle Sicherheitsaspekte abgedeckt sind. Viele Unternehmen sind ja schon nach ISO 27001 zertifiziert, aber das geht weit darüber hinaus. Wenn ich bereits eine Basis habe, dann weiß ich auch, worauf es ankommt, aber manche Unternehmen müssen vielleicht wirklich weiter vorne starten, denn es sind alle Bereiche betroffen: Netzwerk, Collaboration-Services, Security.
Ist man als Unternehmen auch für die Lieferkette verantwortlich?
Oberauer: Das ist ein sehr wichtiger Punkt. Die Sicherheit in der IT-Wertschöpfungskette ist nicht nur auf den öffentlichen oder halböffentlichen Bereich beschränkt, sondern betrifft die gesamte Wirtschaftswelt. Als Verantwortlicher ist es meine Aufgabe, sicherzustellen, dass meine Zulieferer, die etwa in mein SAP-System oder Netzwerk eingebunden sind oder in meiner Infrastruktur arbeiten, ebenfalls sicher sind. Es ist daher ratsam, Lieferanten nach bestimmten Kriterien auszuwählen, um sicherzustellen, dass sie den erforderlichen Sicherheitsstandards entsprechen. In einigen Ausschreibungen sind diese Kriterien bereits seit Jahren enthalten.
Ich trage als Unternehmen die Verantwortung dafür, dass alle Daten, die für die Gechäftsabläufe notwendig sind, sicher sind. Insbesondere im öffentlichen Bereich geht es darum, die Daten der Bürgerinnen und Bürger zu schützen. Es bringt wenig, den Zulieferer für etwaige Probleme verantwortlich zu machen. Stattdessen muss ich sicherstellen, dass die Sicherheit der Daten gewährleistet ist.
Ich trage als Unternehmen die Verantwortung dafür, dass alle Daten, die für die Gechäftsabläufe notwendig sind, sicher sind.
Roman Oberauer
Im Gegensatz zu einem Zertifikat, das möglicherweise bereits vorhanden ist, handelt es sich hier aber um ein Gesetz. Das hat Konsequenzen in Form von Strafen und die sind recht drastisch. Es geht um 7 bis 10 Millionen Euro, was dazu führen kann, dass man relativ schnell in wirtschaftliche Schwierigkeiten gerät.
Die Umsetzung von NIS2 bedeutet auch, dass Unternehmen Investitionen tätigen müssen. Die derzeitige wirtschaftliche Lage veranlasst sie aber eher, Investitionen zu verschieben. Wie sieht ihre Prognose aus?
Oberauer: Wir beobachten ein leichtes Wirtschaftswachstum, wenn auch kein wirklich großartiges, aber einen positiven Trend. Irgendwann wird das Verschieben der Projekte ein Ende haben müssen. Insbesondere bei den NIS-Anforderungen sind Investitionen jetzt erforderlich. Ob der Staat dann noch etwas zuschießt, ist eine andere Frage. Ein weiteres großes Thema sind die Vorgaben hinsichtlich Nachhaltigkeit, wo es Reporting-Auflagen gibt. Ab 2025 müssen Reports nach Unternehmensgröße geliefert werden, basierend auf den Daten, die bereits 2024 erhoben wurden.
Diese Situation eröffnet uns als NTT die Gelegenheit, einen Beitrag hinsichtlich eingesetzter Hardware und deren Stromverbrauch zu leisten. Unser Ziel ist es, fortschrittlichere, effizientere und stromsparende Lösungen zu identifizieren. Die Nutzung der Cloud ist eine Option, da sie auf einem zentralen Standort besser skalieren kann. Generell geht es bei der Ausstattung darum, ökologisch und ökonomisch effizienter zu handeln.
Vielen Dank für das Gespräch!